Testmethodik

Blue Frost Security (BFS) hat eine Vorgehensweise entwickelt, um systematisch Sicherheitslücken, Schwachstellen und potentielle Risiken aufzuspüren und zu analysieren. Diese im Folgenden beschriebene Methodik befolgt und erweitert das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegebene Verfahren.

Unsere Vorgehensweise basiert dabei auf gängigen “best practice” Methoden (d.h. OWASP Testing Guide v3 einschließlich OWASP Top 10 (2013), OSSTMMv3, BSI Penetrationstest, WASC, SANS Top 25, NIST SP800-115). Die von BFS eingesetzten Tools sind Eigenentwicklungen oder öffentlich verfügbare Tools und Frameworks namhafter und vertrauenswürdiger Hersteller. Die eingesetzte Software wird dabei einer unabhängigen Überprüfung durch das Blue Frost Security Lab unterzogen.

Unsere Projekte werden typischerweise in die folgenden Phasen unterteilt:

  1. Gemeinsam mit dem Kunden werden Umfang und die Voraussetzungen des Tests genau festgelegt. Im Anschluss an weitere Vorbereitungen erfolgt das Kickoff-Meeting zusammen mit dem Kunden.
  2. Passive Informationsbeschaffung: In dieser Phase werden öffentlich zugängliche Informationen über die Zielsysteme in Erfahrung gebracht und gesammelt ohne die Zielsysteme direkt anzusprechen.
  3. Aktive Informationsbeschaffung und Analyse der Angriffsfläche: In dieser Phase werden die charakteristischen Eigenschaften der Zielsysteme so präzise wie möglich identifiziert. So werden beispielsweise die angebotenen Netzwerkdienste sowie der deren Version, Konfiguration und Verwundbarkeit in Erfahrung gebracht.
  4. Simulierter Angriff: Mit den Methoden echter Angreifer werden potentielle Schwachstellen auf den Zielsystemen identifiziert und ausgenutzt. Viele verschiedene Sicherheitsmängel können hierbei als Einfallstor dienen: bekannte Schwachstellen, ausnutzbare Applikationslogik, unsichere Konfigurationen, schwache Passwörter oder bisher unbekannte Implementationsfehler. Die Analysten der BFS haben weitreichende Fähigkeiten auf diesem Gebiet und entwickeln, wenn nötig, eigene Tools und Software um Angriffe auf technische Gegebenheiten anzupassen. So ist sichergestellt, dass jede Sicherheitsanalyse der individuellen Situation entsprechend angepasst werden kann.
  5. Rechte-Ausweitung und Ausbreitung: In enger Absprache mit dem Kunden können über eine initiale Schwachstelle weitere Angriffsschritte simuliert werden, wie z.B. die Rechteeskalation und die weitere Ausbreitung innerhalb des internen Netzwerks. In dieser Phase können oft noch weitere kritische Schwachstellen identifiziert werden. Außerdem dient diese Phase der Simulation eines realen Angreifers.
  6. Abschlussbericht: Dem Kunden wird ein Abschlussbericht zur Verfügung gestellt, der als Leitfaden für das weitere Sicherheitsmanagement dienen kann. Der Bericht adressiert dabei das Management in Form einer Management Zusammenfassung sowie die technischen Abteilungen mit detaillierten technischen Informationen über alle identifizierten Schwachstellen. Der Abschlussbericht enthält typischerweise folgende Kapitel:
  • Management Zusammenfassung mit einem allgemeinen Überblick über die Sicherheit der geprüften Systeme, die bestehenden Risiken und den empfohlenen Sicherheitsmaßnahmen.
  • Beschreibung der eingesetzten Methoden und durchgeführten Tests. Dies gibt dem Kunden eine Übersicht über die von der Sicherheitsuntersuchung abgedeckten Bereiche bzw. noch ausstehende Untersuchungen.
  • Vollständige Übersicht aller identifizierten Schwachstellen mit Risikoeinordnung und Lösungsempfehlung.


Regelmäßige Statusberichte sind ein wichtiger Bestandteil der Projektkommunikation. BFS Analysten erstellen während des Projekts tägliche oder wöchentliche Statusberichte für den Kunden, um diesen ständig über den aktuellen Status und erreichte Meilensteine informiert zu halten.

Ebenso informieren die Analysten den Kunden umgehend, wenn kritische Sicherheitslücken identifiziert werden. Sollten die Analysten Belege für vorhergegangene illegale Aktivitäten in den Kundensystemen finden, wird der Kunde sofort darüber in Kenntnis gesetzt.

Alle sensiblen Kundendaten werden nach Projektabschluss komplett von den Systemen der BFS entfernt und sicher gelöscht.

Zurück zur "Referenzen" Übersicht